恶意软件通过虚假的Android应用程序传播,从受害者的设备中提取一系列敏感信息。已发现针对伊朗公民的移动间谍软件活动 – 有证据表明伊朗政府可能参与其中。这项行动被研究人员称为Domestic Kitten,到目前为止,大约有240名用户成为恶意软件的受害者,研究人员发现 – 其中97%的受害者是伊朗人。还有来自阿富汗,伊拉克和英国的少数受害者。
恶意软件受害者97%在伊朗 可读取手机通讯录
攻击者采用一种水坑方法,使用精心设计的虚假Android应用程序吸引感兴趣的受害者。其中包括一个ISIS品牌的壁纸应用程序,一个声称来自合法的ANF库尔德斯坦通讯社的新闻更新应用程序,以及一个虚假版本的Vidogram消息应用程序。
“攻击背后的人使用假诱饵内容诱使受害者下载此类应用程序,这些应用程序实际上装载了间谍软件,然后收集有关它们的敏感信息,”
到目前为止,大约有240名用户成为恶意软件的受害者,研究人员发现 – 其中97%的受害者是伊朗人。还有来自阿富汗,伊拉克和英国的少数受害者。
“虽然受害者数量有限,但受此行动影响的人数实际上要高得多,这是因为每个受害者的移动设备中存储的完整联系人列表,包括全名和至少一个电话号码,也是由攻击者收集的。此外,由于电话,短信详情以及实际的短信也被攻击者记录,数千名完全无关的用户的私人信息也受到了损害。“
恶意软件下载后自动读取手机信息
下载应用程序并安装恶意软件后,它会获取存储在受害者移动设备上的联系人列表,电话记录,SMS消息,浏览器历史记录和书签,受害者的地理位置,外部存储,照片,周围的录音和更多。
然后,它将信息加载到AES加密的Zip归档文件中,并使用HTTP POST请求将其发送回命令和控制服务器。这是一个按需进程,在攻击者发送命令时执行,例如“获取联系人”。
“有趣的是,日志文档包括用于拦截受害者数据的恶意应用程序的名称,以及应用程序代码名称字段,”研究人员说。“此字段包含应用程序的简短描述,这使我们相信这是攻击者用来立即识别受害者使用的应用程序的字段。观察到的代码名称包括Daesh4(ISIS4),Military News,Weapon2,Poetry Kurdish。“
至于归属问题,研究人员表示,他们认为伊朗政府实体,如伊斯兰革命卫队(IRGC),情报部,内政部或其他部门,都是间谍活动的幕后推手。
研究人员说:
“虽然攻击背后的行动者的确切身份仍然未经证实,但目前对目标的观察,应用程序的性质以及所涉及的攻击基础设施使我们相信这一行动属于伊朗血统。事实上,根据我们与熟悉世界这一地区政治话语的情报专家的讨论,[政府]经常对这些群体进行广泛的监视。”